PDPA TrustMark Template

FortSecure Global เราให้บริการนำเสนอแบบร่าง (Template) ด้านการขอรับรองความปลอดภัยสำหรับองค์กร (TrustMark) ซึ่งเป็นเอกสารที่สำคัญสำหรับการขอรับรองความปลอดภัยจากหน่วยงานที่ได้รับการรับรองตามกฎหมายที่เกี่ยวข้อง

เอกสารที่แสดงให้เห็นถึงการกำหนดนโยบายและ กำกับติดตามการดำเนินงานเกี่ยวกับการคุ้มครอง ข้อมูลส่วนบุคคลขององค์กร เช่น รายงานการประชุม ของคณะกรรมการบริษัท หรือผู้บริหารขององค์กร หรือคณะกรรมการที่ทำหน้าที่กำกับดูแลการคุ้มครอง ข้อมูลส่วนบุคคล (มีรายชื่อของผู้บริหารระดับสูงสุด ขององค์กรเป็นกรรมการด้วย) เป็นต้น

เอกสารหรือหลักฐานที่แสดงให้เห็นว่าผู้บริหารระดับสูง ขององค์กรปฏิบัติตามมาตรการรักษาความมั่นคง ปลอดภัยของข้อมูลส่วนบุคคล เช่น รายงานการ ประชุมของคณะกรรมการบริษัท หรือผู้บริหารของ องค์กร หรือคณะกรรมการที่ทำหน้าที่กำกับดูแลการ คุ ้มครองข้ อมูลส่วนบุ คคล หรือรายงานผลการ ดำเนินงานด้านการข้อมูลส่วนบุคคลที่จัดทำโดย DPO หรือรายงานการเข้าถึงข้อมูลส่วนบุคคลของผู้บริหาร ระดับสูงตามสิทธิที่กำหนด เป็นต้น

เอกสารหรือหลักฐานที่แสดงให้เห็นว่าผู้บริหารระดับสูง ขององค์กรส่งเสริมวัฒนธรรมองค์กรเชิงบวกในการ ปฏิบัติตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เช่น รายงานการประชุมของคณะกรรมการ บริษัท หรือผู้บริหารขององค์กร เป็นต้น

แผนผังองค์กร (Organization Chart) ที่แสดงสายการรายงานหรือการบังคับบัญชาที่ชัดเจน

เอกสารที่แสดงให้เห็นถึงการจัดทำนโยบายที่ชัดเจน ในการกำหนดโครงสร้างองค์กรสำหรับการคุ้มครอง ข้อมูลส่วนบุคคลและการกำกับดูแลข้อมูล เช่น รายงานการประชุมของคณะกรรมการบริษัท หรือ ผู้บริหารขององค์กร เป็นต้น

เอกสารที่แสดงให้เห็นถึงคำบรรยายลักษณะงาน (Job Description) ในการคุ้มครองข้อมูลส่วนบุคคล ที่เป็นปัจจุบันและสอดคล้องกับวัตถุประสงค์ทางธุรกิจ หรือการคุ้มครองข้อมูลส่วนบุคคลขององค์กร รวมถึง สายการรายงานไปยังผู้บังคับบัญชาหรือผู้บริหาร เช่น ข้อตกลงการทำงาน หรือสัญญาจ้างแรงงานของ พนักงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล เป็นต้น

เอกสารที่แสดงให้เห็นถึงความเข้าใจเกี่ยวกับโครงสร้าง องค์กรและความรับผิดชอบของพนักงานเกี่ยวกับการ คุ้มครองข้อมูลส่วนบุคคล เช่น รายงานการประชุมใน ระดับฝ่ายงาน เป็นต้น

เอกสารที่แสดงให้เห็นถึงการทำหน้าที่ของ DPO ตามกฎหมาย เ ช ่ น ร ายงานการประชุ มของ คณะกรรมการบริษัท หรือผู้บริหารขององค์กร หรือ คณะกรรมการที่ทำหน้าที่กำกับดูแลการคุ้มครองข้อมูลส่วนบุคคล หรือรายงานผลการดำเนินงานด้านการ คุ้ มครองข้อมูลส่วนบุคคลที่จัดทำโดย DPO หรือ เอกสารแต่งตั้ง DPO เป็นต้น

หลักฐานการเข้ารับการฝึกอบรมความรู้ เกี ่ยวกับ กฎหมายและแนวทางปฏิบัติในการคุ้มครองข้อมูลส่วน บุคคลของ DPO หรือใบประกาศนียบัตรรับรองการ ผ่านหลักสูตรด้านการคุ้มครองข้อมูลส่วนบุคคลของ DPO

หลักฐานแสดงถึงการอำนวยความสะดวกแก่ DPO เช่น รูปถ่ายอุปกรณ์หรือเครื่องมือที่องค์กรจัดหาให้ DPO บันทึกแสดงการเข้าถึงฐานข้อมูลขององค์กรโดย DPO

หลักฐานบันทึกการตัดสินใจไม่แต่งตั้ง DPO และ เหตุ ผลประกอบ เช่ น รายงานการประชุ มของ คณะกรรมการบริษัท หรือผู้บริหารขององค์กร หรือ คณะกรรมการที่ทำหน้าที่กำกับดูแลการคุ้มครองข้อมูล ส่วนบุคคล หนังสือเวียนภายใน การบันทึกรายการ กิจกรรมการประมวลผลข้อมูลส่วนบุคคลขององค์กร (ROPA) เป็นต้น

เอกสารที่แสดงถึงการมอบหมายให้บุคคลใดบุคคลหนึ่ง เป็นผู้รับผิดชอบเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ขององค์กร (ทำงานในลักษณะเดียวกับ DPO) เช่น รายงานการประชุมของคณะกรรมการบริษัท หรือ ผู้บริหารขององค์กร หรือคณะกรรมการที่ทำหน้าที่ กำกับดูแลการคุ้มครองข้อมูลส่วนบุคคล หรือหลักฐาน การแต่งตั้งหรือมอบหมายให้บุคคลใดบุคคลหนึ่งเป็น ผู้รับผิดชอบเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของ องค์กร เป็นต้น

หลักฐานแสดงถึงการสนับสนุนทรัพยากรที่จำเป็นแก่ ผู้รับผิดชอบเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของ องค์กร เช่น รูปถ่ายอุปกรณ์หรือเครื่องมือที่องค์กร จัดหาให้

เอกสารที่แสดงให้เห็นถึงรายละเอียดเกี่ยวกับ DPO (อันได้แก่ ชื่อของ DPO หน้าที่และความรับผิดชอบ ของ DPO และช่องทางในการติดต่อ) เช่น รายงานการ ประชุมของคณะกรรมการบริษัท หรือผู้บริหารของ องค์กร หรือคณะกรรมการที่ทำหน้าที่กำกับดูแลการ คุ้มครองข้อมูลส่วนบุคคล หรือประกาศหรือคำสั่งของ องค์กรแต่งตั้ง DPO เป็นต้น

เอกสารหรือหลักฐานที่แสดงให้เห็นถึงการให้คำแนะนำ เหตุผลของการไม่ปฏิบัติตามคำแนะนำ และการ ติดตามงานของ DPO เช่น รายงานการประชุมในระดับ ฝ่ายงาน หนังสือโต้ตอบข้อหารือระหว่าง DPO และ ฝ่ายงานในองค์กร ข้อความโต้ตอบผ่าน email หรือ แอปพลิเคชันต่าง ๆ เป็นต้น

เอกสารที่แสดงถึงความเป็นอิสระในการตัดสินใจของ DPO โดยไม่มีผลประโยชน์ทับซ้อนใด ๆ และแสดงให้ เห็นถึงบทบาทของ DPO ที่สามารถแนะนำโดยตรงแก่ ผู้ มีอำนาจตัดสินใจระดับสูงและแจ้งข้อกังวลกับ ผู้บริหารระดับสูงสุดได้ เช่น รายงานการประชุมของ คณะกรรมการบริษัท หรือผู้บริหารขององค์กร หรือ คณะกรรมการที่ทำหน้าที่กำกับดูแลการคุ้มครองข้อมูล ส่วนบุคคล หรือนโยบายขององค์กร หรือข้อกำหนด ตามสัญญาที่ระบุถึงความเป็นอิสระในการตัดสินใจของ DPO โดยไม่มีผลประโยชน์ทับซ้อนใด ๆ เป็นต้น

เอกสารที่แสดงถึงการรายงานของ DPO ไปยังผู้บริหาร ระดับสูงขององค์กรเป็นประจำอย่างน้อยปีละ 1 ครั้ง เช่น รายงานการประชุมของคณะกรรมการบริษัท หรือ ผู้บริหารขององค์กร หรือคณะกรรมการที่ทำหน้าที่ กำกับดูแลการคุ้มครองข้อมูลส่วนบุคคล หรือหนังสือ หรือบันทึกที่ DPO จัดทำเพื่อรายงานต่อผู้บริหารระดับสูงขององค์กร เป็นต้น

เอกสารที่กำหนดมาตรการรักษาความมั่นคงปลอดภัย ของข้อมูลส่วนบุคคลสำหรับพนักงาน เช่น รายงานการ ประชุมของคณะกรรมการบริษัท หรือผู้บริหารของ องค์กร หรือคณะกรรมการที่ทำหน้าที่กำกับดูแลการคุ้มครองข้อมูลส่วนบุคคล หรือนโยบาย ประกาศ คำสั่ง หรือแนวปฏิบัติขององค์กรที่ระบุถึงมาตรการรักษา ความมั่นคงปลอดภัยของข้อมูล เป็นต้น

เอกสารที่ระบุถึงภาระหน้าที่ความรับผิดชอบเกี่ยวกับ การคุ้ มครองข้อมูลส่วนบุคคลของเจ้าหน้าที่หรือ พนักงานที่ปฏิบัติหน้าที่เกี่ยวกับการคุ้มครองข้อมูลส่วน บุคคล เช่น คำบรรยายลักษณะงาน (Job Description) หรือข้อตกลงการทำงาน หรือสัญญาจ้างแรงงานที่ระบุ ถึงภาระหน้าที่การคุ้ มครองข้อมูลส่วนบุคคลของ พนักงาน เป็นต้น

หลักฐานแสดงถึงการสนับสนุนทรัพยากรที่เพียงพอแก่ เจ้าหน้าที่หรือพนักงานที่ปฏิบัติหน้าที่เกี่ยวกับการ คุ้มครองข้อมูลส่วนบุคคลและการกำกับดูแลข้อมูล เช่น รูปถ่ายอุปกรณ์หรือเครื่องมือที่องค์กรจัดหาให้ บันทึก แสดงการเข้าถึงฐานข้อมูลส่วนบุคคลขององค์กรโดย พนักงานที่เกี่ยวข้อง

เอกสารที่แสดงให้เห็นถึงการส่งเสริมให้มีเครือข่าย สนับสนุนการปฏิบัติงานด้านการคุ้มครองข้อมูลส่วน บุคคล หรือสนับสนุนให้พนักงานแต่ละฝ่ายงานได้มี โอกาสผลัดเปลี่ยนกันเข้าไปเป็นคณะทำงานของ DPO เช่น รายงานการประชุมของคณะกรรมการบริษัท หรือ ผู้บริหารขององค์กร หรือคณะกรรมการที่ทำหน้าที่ กำกับดูแลการคุ้มครองข้อมูลส่วนบุคคล หรือฝ่ายงาน เป็นต้น

เอกสารที่แสดงถึงการแต่งตั้งคณะทำงานของ DPO โดยมีรายชื่อ DPO เป็นประธานหรือผู้ ทำงานใน คณะทำงาน และภาระงานของคณะทำงาน เช่น รายงานการประชุมของคณะกรรมการบริษัท หรือ ผู้บริหารขององค์กร หรือคณะกรรมการที่ทำหน้าที่ กำกับดูแลการคุ้มครองข้อมูลส่วนบุคคล เป็นต้น

วาระการประชุมและรายงานการประชุมของคณะทำงานของ DPO ที่แสดงให้เห็นถึงเป้าหมายและ แผนการดำเนินงานของคณะทำงาน

วาระการประชุ มและรายงานการประชุ มของ คณะทำงานของ DPO ที่แสดงให้เห็นถึงเป้าหมายและ แผนการดำเนินงานของคณะทำงาน

เอกสารที่แสดงให้เห็นถึงประเด็นการคุ้มครองข้อมูล ส่วนบุคคลและการกำกับดูแลข้อมูล รวมถึงความเสี่ยง ขององค์กร ที่รายงานโดยคณะทำงานของ DPO เช่น รายงานการประชุมของคณะกรรมการบริษัท หรือ ผู้บริหารขององค์กร หรือคณะกรรมการที่ทำหน้าที่ กำกับดูแลการคุ้มครองข้อมูลส่วนบุคคล

เอกสารที่แสดงให้เห็นถึงแผนปฏิบัติการสำหรับการ ดำเนินงานด้านการคุ้มครองข้อมูลส่วนบุคคลของกลุ่ม ปฏิบัติการ เช่น วาระการประชุมและรายงานการ ประชุมของกลุ่มปฏิบัติการ เป็นต้น

เอกสารที่แสดงให้เห็นถึงปัญหาด้านการคุ้มครองข้อมูล ส่วนบุคคลและการกำกับดูแลข้อมูล และความเสี่ยงใด ๆ ที่เกิดขึ้น เช่น รายงานการประชุมของคณะทำงาน ของ DPO หรือกลุ่มปฏิบัติการ เป็นต้น

เอกสารแสดงบทบาทหน้าที่และความรับผิดชอบของหน่วยงานด้าน IT ตามหลักการแบ่งแยกหน้าที่ 3 ระดับ (3 Lines of Defense : 3 LoDs) เช่น หน่วยงานปฏิบัติงานด้าน IT และผู้ที่ใช้ระบบ IT ปฏิบัติงาน, หน่วยงานบริหารความเสี่ยงด้าน IT และหน่วยงานกำกับดูแลการปฏิบัติตามกฎหมายและหลักเกณฑ์ด้าน IT และ หน่วยงานตรวจสอบด้าน IT เป็นต้น

นโยบายบริหารจัดการความเสี่ยงด้าน IT (IT risk management policy)

แบบฟอร์มทะเบียนความเสี่ยง (risk register)

นโยบายการรักษาความมั่นคงปลอดภัยด้าน IT (IT security policy)

เอกสารขั้นตอนการปฏิบัติงานที่เกี่ยวข้องกับการบริหารจัดการความเสี่ยงด้าน IT และการรักษาความมั่นคงปลอดภัยด้าน IT

เอกสารแสดงวิธีปฏิบัติสำหรับการอนุมัติยกเว้น (exception)

แบบฟอร์มขออนุมัติยกเว้น (exception)

เอกสารข้อกำหนดหรือเงื่อนไขในสัญญาจ้างหรือระเบียบข้อบังคับภายในองค์กร ที่มีการกล่าวถึงบทบาทหน้าที่ความรับผิดชอบ การปฏิบัติตามนโยบายและข้อกำหนดที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศของบริษัท เพื่อป้องกันการรั่วไหลของข้อมูลหรือความเสียหายที่อาจเกิดขึ้นต่อทรัพย์สินด้านเทคโนโลยีสารสนเทศของบริษัท

ข้อตกลงการไม่เปิดเผยข้อมูล (non-disclosure agreement)

แผนการส่งเสริมและพัฒนาความรู้ด้าน IT (training program)

แบบฟอร์มลงนามนโยบายการใช้งาน IT ที่ยอมรับได้ (acceptable use policy)

เอกสารแนวปฏิบัติในการคัดเลือกผู้ให้บริการภายนอก

เอกสารประเมินศักยภาพบุคคลภายนอก (Due Diligence form)

สัญญาหรือข้อตกลงการใช้บริการ การเชื่อมต่อ หรือการเข้าถึงข้อมูลจากบุคคลภายนอก

สัญญาหรือข้อตกลงการใช้บริการกับบุคคลภายนอก ซึ่งเป็นผู้ให้บริการงานด้าน IT รายที่มีนัยสำคัญ

แบบฟอร์มลงนาม ข้อตกลงการไม่เปิดเผยข้อมูล (non-disclosure agreement)

ทะเบียนรายชื่อบุคคลภายนอก (third-party list)

แบบฟอร์มการประเมินผลการปฏิบัติงานหรือผลการให้บริการของบุคคลภายนอก

แผนรองรับในกรณีที่บุคคลภายนอกเกิดเหตุการณ์ผิดปกติด้าน IT (incident response plan)

เอกสารระเบียบปฏิบัติเกี่ยวกับการบริหารจัดการทรัพย์สินด้าน IT

ทะเบียนทรัพย์สินด้าน IT ประเภท Hardware

ทะเบียนทรัพย์สินด้าน IT ประเภท Software

เอกสารหลักเกณฑ์การจัดชั้นความลับของข้อมูล (data classification)

เอกสารแนวปฏิบัติในการจัดการข้อมูล (data handling) ตามชั้นความลับ ที่ครอบคลุมตลอดวงจรชีวิตของข้อมูล

เอกสารแนวปฏิบัติในการทำลายข้อมูล (Data Disposal)

ทะเบียนการทำลายข้อมูลสำคัญ

ทะเบียนทรัพย์สินประเภทข้อมูล (Data Inventory)

เอกสารแนวปฏิบัติในการสร้างบัญชีผู้ใช้งาน

เอกสารแนวปฏิบัติในการทบทวนบัญชีและสิทธิการเข้าถึงของผู้ใช้งาน

เอกสารแนวปฏิบัติในการขออนุมัติสิทธิในการเข้าถึงข้อมูลและระบบ IT

เอกสารแนวปฏิบัติในการปรับปรุงสิทธิของผู้ใช้งานเมื่อมีการเปลี่ยนแปลงหน้าที่ความรับผิดชอบหรือตำแหน่งงาน

เอกสารแนวปฏิบัติในการเพิกถอนสิทธิของผู้ใช้งาน

ตารางควบคุมการให้สิทธิ (authorization matrix) ของผู้ใช้งานที่สอดคล้องกับตำแหน่งหน้าที่และความรับผิดชอบ

เอกสารนโยบายรหัสผ่าน (Password Policy)

รายชื่อระบบงานสำคัญ (List of Critical System)

เอกสารแนวปฏิบัติในการขอใช้งานบัญชี privileged user

แบบฟอร์มลงนาม การขอใช้งานบัญชี privileged user

มาตรฐานการเข้ารหัส (Encryption standard)

นโยบายการเข้ารหัส (Encryption policy)

เอกสารแสดงสิทธิการเข้าถึงศูนย์คอมพิวเตอร์ และพื้นที่ที่เกี่ยวข้องกับระบบ IT ที่มีนัยสำคัญ

แบบฟอร์มลงนาม หรือ บันทึกควบคุมการเข้า-ออก ศูนย์คอมพิวเตอร์ และพื้นที่ที่เกี่ยวข้องกับระบบ IT ที่มีนัยสำคัญ

เอกสารมาตรฐานการตั้งค่าด้านความมั่นคงปลอดภัย (security configuration standard) หรือ security baseline

เอกสารแนวในการบริหารจัดการการเปลี่ยนแปลง

แบบฟอร์มลงนาม คำขอการเปลี่ยนแปลง (change request) ที่ลงนามโดยผู้มีอำนาจ

เอกสารแนวปฏิบัติในการบริหารจัดการขีดความสามารถของระบบ (capacity management)

การกำหนดตัวชี้วัดการใช้ทรัพยากรด้านเทคโนโลยีสารสนเทศ (threshold และ trigger) ในระดับต่าง ๆ

เอกสารมาตรการรักษาความปลอดภัยของเครื่องแม่ข่าย และอุปกรณ์ที่ใช้ปฏิบัติงาน

เอกสารนโยบายและมาตรการรักษาความปลอดภัยสำหรับการปฏิบัติงานจากเครือข่ายภายนอก (teleworking) การใช้งานอุปกรณ์เคลื่อนที่ (mobile device) และรวมถึงการใช้งานอุปกรณ์ส่วนตัว (Bring Your Own Device : BYOD)

แบบฟอร์มลงนาม การอนุมัติการปฏิบัติงานจากเครือข่ายภายนอกของบุคคลากร

ทะเบียนอุปกรณ์เคลื่อนที่ (mobile device)

เอกสารแนวปฏิบัติในการสำรองข้อมูล

เอกสารแนวปฏิบัติในการตรวจจับเหตุการณ์ผิดปกติที่อาจส่งผลกระทบต่อความปลอดภัยของระบบ IT ที่มีนัยสำคัญ

แผนการประเมินช่องโหว่ (Vulnerability Assessment)

เอกสารแนวปฏิบัติในการบริหารจัดการประเมินช่องโหว่ (Vulnerability Assessment) และ การทดสอบเจาะระบบ (Penetration Test)

เอกสารแนวปฏิบัติในการบริหารจัดการโปรแกรมแก้ไขช่องโหว่ (patch management)

เอกสารแนวปฎิบัติการควบคุมข้อมูลที่รับส่งผ่านระบบเครือข่ายสื่อสาร (information transfer)

เอกสารแนวปฏิบัติการใช้งาน Electronic messaging (Instant messaging, Social networking และ File sharing) ในบริษัท

เอกสารที่ระบุถึงกรอบการบริหารจัดการโครงการ (project management framework)

เอกสารแสดงหลักเกณฑ์การคัดเลือกระบบ IT และผู้ให้บริการ

เอกสารแนวปฏิบัติในการออกแบบและพัฒนาระบบ

เอกสารแนวฏิบัติในการออกแบบและพัฒนาระบบอย่างปลอดภัย (secure coding)

แบบฟอร์มลงนาม User Acceptance Test (UAT)

แผนการรับมือกับเหตุการณ์ผิดปกติ (Incident Response Plan : IRP)

เอกสารแต่งตั้งคณะทำงานหรือหน่วยงานที่รับผิดชอบในการจัดทำแผนฉุกเฉินด้าน IT

ผลการประเมินความเสี่ยง ที่มีการระบุเหตุการณ์ความเสี่ยงที่อาจทำให้กระบวนการและระบบ IT หยุดชะงัก ไม่สามารถให้บริการได้ตามปกติ หรือไม่สามารถดำเนินธุรกิจอย่างต่อเนื่อง

เอกสารรายงานผลการประเมินผลกระทบทางธุรกิจ (business impact analysis)

แผนฉุกเฉินด้าน IT หรือ Disaster Recovery Plan : DRP

แผนผัง Call Tree

แผนการตรวจสอบด้านเทคโนโลยีสารสนเทศ

PDPA TrustMark Template

PDPA TrustMark Template

สนใจนำแบบร่าง (Template) ไปใช้ในองค์กรของคุณ? ราคา 20,000 บาท